条目标记“密码”

页码1 / 24

保护自己免受身份盗窃

我没有很多好消息要告诉你。事实上,我们无法保护我们的数据不被网络罪犯和其他人窃取。

十年前,我本可以给你各种关于加密的建议,不通过电子邮件发送信息,保护您的网络连接,还有很多其他的事情——但是大部分都不重要了。今天,你的敏感数据被他人控制你个人无法影响它的安全。

我可以给你一些建议,比如不要住酒店(万豪酒店违约事件),不要得到政府的许可(人事管理办公室的黑客攻击),不要把你的照片存储在网上(Apple breach和其他网站),不要使用电子邮件(很多,许多不同的漏洞),除了与任何人保持匿名的现金关系之外,Ever(Equifax违规)。但这对于任何想在21世纪过正常生活的人来说都是荒谬的建议。

事实上,你的敏感数据很可能已经被窃取了,很多次了。网络罪犯有你的信用卡信息。他们有你的社会保险号码和你母亲的娘家姓。他们有你的地址和电话号码。他们通过黑客攻击你委托的数百家公司中的任何一家来获取数据,而你对这些公司的安全实践却一无所知,当他们丢失你的数据时,你没有追索权。

鉴于此,您最好的选择是将您的努力转向确保您的数据不会被用来反对您。尽可能为所有重要帐户启用双因素身份验证。不要在重要的事情上重复使用密码——让密码管理器记住所有的密码。

尽量禁用“秘密问题”以及公司在您忘记密码时使用的其他备份身份验证机制——这些机制总是不安全的。注意你的信用报告和银行账户中的可疑活动。与主要的信用机构建立信用冻结。小心那些自称是你生意伙伴的人发来的电子邮件和电话。

当然,你不太可能做很多这样的事情。几乎没有人这样做。那是因为它既烦人又不方便。这就是现实,虽然。与您做生意的公司没有真正的动机来保护您的数据。你保护自己的最好方法就是改变这种动机,这意味着鼓动政府监督这一领域。这包括禁止条例,更灵活的安全标准,负债,认证,许可,和有意义的标记。一旦发生这种情况,市场将介入并为公司提供他们可以用来保护您的数据的技术。

这篇文章以前发表在罗切斯特评论,在一个校友论坛上,有人问:“你如何才能最好地保护自己免受身份盗窃?”

发布于5月6日,2019年7点08分查看评论

我在法庭的判决中被传讯

一个篇文章我合作——我在《法律杂志》上发表的第一篇文章——是引用由马萨诸塞州最高法院——州最高法院——在一起关于强制解密的案件中。

这是第一个,在脚注1:

我们理解“密码”这个词与手机用户可能熟悉的其他术语同义,如个人身份号码或“密码”。每个术语都是指字母或数字的个性化组合,当用户手动输入时,“解锁”一个手机。为简单起见,我们使用“密码”贯穿始终。一般看,克尔& Schneier加密解决方案,106地理。剩下989年,990,994,998(2018)。

这是第二个,在脚注5:

我们认识到普通手机用户可能不熟悉加密技术的复杂性。例如,尽管输入密码“解锁”一个手机,密码本身不是“加密密钥”这会解密手机的内容。见Kerr&Schneier,在上在995年。相反,“输入[密码]可以解密[加密]密钥,使钥匙被处理和解锁的电话。这两个阶段的过程对普通用户来说是不可见的。”Id。因为加密技术的技术细节并没有在我们的分析中发挥作用,他们不值得再无聊了。因此,我们把输入密码看作是对手机内容的有效解密。有关加密技术的更详细讨论,一般见Kerr & Schneier,在上

发布于3月15日,2019年下午2点38分查看评论

论密码管理器的安全性

新研究关于密码管理器的安全性,特别是1密码,达什兰基普斯然后通过。这项工作专门研究主机上的密码泄漏。也就是说,密码管理器是否意外地将密码的明文副本留在内存中?

所有密码管理器,我们在“不运行”时检查了足够安全的用户机密状态。也就是说,如果要从磁盘中提取密码数据库,并且使用了强主密码,那么,强行使用密码管理器在计算上就会受到限制。

每个密码管理器还试图清除内存中的秘密。但是剩余的缓冲区仍然包含秘密,很可能是由于内存泄漏,失去了内存引用,或者不公开内部内存管理机制来清除秘密的复杂GUI框架。

这在《1Password7》中表现得最为明显,包括主密码及其相关密钥,同时处于锁定和解锁状态。这与1Password4形成对比,最多的地方,“正在运行且未锁定”中会显示一个条目状态和主密码以一种模糊的形式存在于内存中,但是很容易恢复。如果成功解锁后1Password4清除了主密码存储区域,它将遵守我们早些时候概述的所有拟议的安全保证。

本文并不打算批评特定的密码管理器实现;然而,它是建立一个合理的最低基线,所有密码管理员都应该遵守。很明显,所有密码管理器都尝试清除和敏感内存。然而,由于各种原因,每个密码管理器都未能实现适当的秘密消毒。

例如:

LastPass在用户输入密码时混淆了主密码,当密码管理器进入解锁状态时,只有在有用户交互时,才会将数据库条目解密到内存中。然而,ISE报告说,在软件进入锁定状态后,这些条目将保存在内存中。研究人员还可以提取主密码并与由于内存泄漏而产生的密码条目进行交互。

KeePass从内存中清除主密码,并且不可恢复。然而,工作流中的错误允许研究人员提取与交互的凭证条目。对于Windows api,有时,包含解密条目的各种内存缓冲区可能无法正确清除。

这是否重要取决于您是否认为您的计算机是可信的。

有几个人给我发了电子邮件,问我为什么要写我自己的密码安全没有包括在评估中,以及是否存在同样的漏洞。我对前者的猜测是,密码安全不如其他的那么受欢迎。(这有两个原因:1)我不怎么宣传它,and 2) it doesn't have an easy way to synchronize passwords across devices or otherwise store password data in the cloud.) As to the latter: we tried to code Password Safe not to leave plaintext passwords lying around in memory.

所以,独立的安全评估人员:看看密码安全

同时,请记住在许多基于云的密码管理器中发现的漏洞早在2014年吗?

新闻文章。Slashdot线程

2月25日发布,2019年6月23日上午查看评论

LIFX智能灯泡的安全性分析

安全是可怕的

在一个非常 短的 有限的时间,发现了三个漏洞:

  • 已恢复用户Wifi凭证(明文存储到闪存中)。
  • 没有安全设置。设备完全打开(没有安全引导,没有禁用调试接口,没有flash加密)。
  • 提取了根证书和RSA私钥。

波音波音帖子

发布于1月30日,2019年上午10点查看评论

日本政府将侵入公民的物联网设备

日本政府将运行渗透测试针对他们国家所有的物联网设备,为了弄清楚什么是不安全的,(2)帮助消费者安全:

调查定于下个月开始。当当局计划测试超过2亿个物联网设备的密码安全性时,从路由器和网络摄像头开始。人们家里的设备和企业网络上的设备都将进行类似的测试。

[…]

日本政府决定登录用户的物联网设备,在日本引发了愤怒。许多人认为这是不必要的一步,同样的结果也可以通过向所有用户发送安全警报来实现,因为无法保证被发现使用默认或容易猜测的密码的用户在收到私人通知后会更改密码。

然而,政府的计划有其技术优势。今天的很多物联网和路由器僵尸网络都是由黑客构建的,他们使用默认或容易猜到的密码接管设备。

黑客还可以利用路由器固件中的漏洞和漏洞构建僵尸网络,但组装僵尸网络最简单的方法是收集那些用户无法使用自定义密码保护的僵尸网络。

固定这些设备通常是一种痛苦,由于有些人在用户不知情的情况下在线公开Telnet或SSH端口,而且很少有用户知道如何更改密码。此外,其他设备也有秘密的后门帐户,在某些情况下,没有固件更新就无法删除。

我对这项调查的结果很感兴趣。日本在这方面与其他工业化国家没有太大区别,所以他们的研究结果将是一般性的。我对中国确保所有这些东西的能力不那么乐观,尤其是在2020年夏季奥运会之前。

1月28日,2019年下午1:40查看评论

邮寄技术支持炸弹

我理解他的沮丧但是是极端的:

当警方询问Cryptopay是什么促使Salonen向公司发送管道炸弹时,更确切地说,双管炸弹这是调查人员在拆开爆炸包裹时发现的——该公司唯一能想到的是,它拒绝了他更改密码的请求。

2017年8月,Salonen,CryptoPay的客户,给他们的客户服务团队发邮件要求输入新密码。他们拒绝了,考虑到这违反了公司的隐私政策。

公平点,因为在电子邮件中发送新密码从来都不是一个好主意。密码重置链接更安全尽管还不清楚Cryptopay是否向Salonen提供了这个选项。

11月16日,2018年下午2点11分查看评论

特洛伊猎取密码

特洛伊·亨特好文章关于密码为何存在尽管存在安全问题:

这就是为什么在可预见的未来,密码不会消失的原因,也是为什么[此处插入的东西]不会杀死密码的原因。无论多么关注密码有多糟糕,或有多少账户被攻破,或当人们无法访问自己的账户时会付出多大代价,都无法改变这一点。[此处插入的东西]的技术威力也不会改变讨论,因为它根本无法在组织如此关注的一个指标上与密码竞争:可用性。肯定的是,会有一些边缘情况,当然也有一些情况,由于资产的性质或受众的人口结构,较高的摩擦是合理的,但你不会看到你每天的电子商务,社会媒体,甚至银行网站都在大规模变化。

他正确地指出,生物特征认证系统——比如苹果的人脸识别和指纹认证——增加了密码,而不是取代了它们。我想加上好的双因素系统,喜欢这双还要增加密码而不是替换密码。

黑客新闻线程

11月5日发布,2018年10月24日上午10点24分查看评论

美国武器系统的安全漏洞

美国政府会计办公室刚刚出版一份新报告:武器系统网络安全:国防部刚刚开始应对大规模的漏洞”(总结在这里)。结果对我的任何一位老读者来说都不会感到意外:他们很脆弱。

从总结:

自动化和连通性是国防部现代军事能力的基本保障。然而,它们使武器系统更容易受到网络攻击。尽管高和其他人几十年来一直在警告网络风险,直到最近,国防部没有优先考虑武器系统的网络安全。最后,国防部仍在决定如何最好地解决武器系统网络安全问题。

在运行测试中,国防部经常在正在开发的系统中发现关键任务的网络漏洞,然而,项目官员高相信他们的系统是安全的,并认为一些测试结果是不现实的。使用相对简单的工具和技术,测试人员能够控制系统,并且大部分操作未被检测到,部分原因是一些基本问题,如密码管理不善和未加密的通信。此外,由于测试的限制,国防部知道的漏洞可能只占全部漏洞的一小部分。例如,并不是所有的程序都经过测试,测试也不能反映出所有的威胁。

它肯定更简单,便宜的,忽视这个问题或者假装它不是什么大问题。但从长远来看,这可能是个错误。

10月10日发布,2018年6月21日上午查看评论

使用智能手机的麦克风和扬声器窃听密码

令人惊讶的是,这甚至是可能的。”主动声侧通道攻击“:

文摘:我们报告了第一次主动声侧信道攻击。扬声器被用来发射人类听不见的声音信号,回声通过麦克风记录下来,把智能手机的音响系统变成声纳系统。回波信号可用于描述用户与设备的交互。例如,受害者的手指移动可以推断为窃取安卓手机解锁模式。在我们的实证研究中,使用这种新型的声学侧通道,攻击者必须验证自己的三星S4 Android手机的候选解锁模式的数量可以减少70%。我们的方法可以很容易地应用于其他应用场景和设备类型。总的来说,我们的工作突出了一系列新的安全威胁。

新闻文章

9月5日发布,2018年6点05分查看评论

1密码的旅游模式

1Password密码管理器只有介绍了“旅行模式”当你在其他国家或跨境时,你可以删除储存的密码:

你的金库不仅仅是藏起来的;它们完全从你的设备中移除只要旅行模式开启。包括每一项和所有的加密密钥。没有留下任何人可以找到的痕迹。所以即使你被边境的人要求解锁1Password,他们甚至无法知道是否启用了旅行模式。

团队在1密码,旅行模式更酷。如果你是团队管理员,你完全可以控制你的员工可以携带哪些秘密。您可以为团队成员打开和关闭旅行模式,所以你可以确保公司信息在任何时候都是安全的。

这种方式很重要。如果可怕的边境警察要求你打开你的1Password保险库,那些密码/钥匙不在那里,边境警察找不到。

唯一的缺陷——这是一个小缺陷——是这个系统要求你撒谎。当可怕的边境警察问你“你还有其他密码吗?”或者“您是否启用了旅行模式”,你不能告诉他们真相。在美国,对联邦政府说谎是重罪。

以前描述过一个不需要你说谎的系统。实现起来更复杂,虽然。

这是一个很棒的功能,我很高兴看到它的实施。

7月23日,2018年上午6:17查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用所表达的意见不一定是…的意见IBM有弹性